【原】网络安全等级保护：做好网络安全监督检查迎检工作

祺印说信安 2023-07-13 发布于河南

展开全文

本期关键词：

监督检查、迎检、等级保护对象、网络安全等级保护

前几天，公安部网安局公众号发布《公安部网安局相关负责人就“维护国家网络和数据安全”答记者问》中提到，2022年，全国公安机关认真组织、周密部署，扎实开展网络安全监督检查工作。期间，部省市三级公安机关累计对3.5万家单位开展了执法检查，下发限期整改通知书4.6万份，有力确保了网络和数据安全。

今天，我们特就此絮叨一下这块内容，为各责任单位在迎检或后期开展网络安全日常工作中，提供一点思路。

其实公安机关每年都会开展监督检查，应该有十来年的样子了，这几年在公安机关开展监督检查期间，总有好多开展过等级测评的单位，咨询我如何填写监督检查表。当咨询有关填写监督检查自查表时，问我该如何填写。

我告诉他们“如实填写”！但是，说着轻松，其实做起来很难！

我们今天一起探讨一下监督检查：

监督检查的工作是由等级保护管理部门进行，前面其实我也专门用《网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系》这篇公众号，说明等级保护与等级保护测评两个概念的异同点，这里我们主要以公安机关的监督检查作为重点。

监督检查阶段需要输入包括但不限于安全等级测评报告、备案材料、自查报告等，等级保护管理部门、主管部门依据国家网络安全等级保护、行业监管要求等制定监督检查方案及表格；运营、使用单位根据网络安全保护等级保护监督检查、行业监管的规范或标准，准备相应的监督检查所需材料，等级保护管理部门对等级保护对象定级、规划设计、建设实施和运行管理等过程的监督检查要求，等级保护管理部门应按照国家、行业相关等级保护监督检查要求及标准，开展监督检查工作。最终由监管部门输出监督检查材料、监督检查结果报告等。

注：很多单位往往被误导说，只要做了等级测评，就可以免责了。其中，我们看到公安机关在监督检查时，会对等级保护对象定级、规划设计、建设实施和运行管理等过程监督检查，那么这就涉及到我们各个单位在定级、规划设计、建设实施和运行管理过程中，有没有真抓实干了。也就是，在监督检查过程中，我们是需要提供这些工作对应的闭环材料的，绝不是仅有一份测评报告。同理，就算是测评，也涉及到测评机构是否如实合规的出具测评报告，也就是作为责任单位有责任监督所有为自己服务的第三方依据国家网络安全等级保护制度开展工作的。若工作中，涉及弄虚作假或材料不真实，其被检查单位则责任不减反增的。该做测评不做测评，自然要被处罚，但是仅仅做了测评，不对测评中发现的网络安全问题和隐患进行整改，还是未真实落实等级保护制度要求。

主管部门，运营、使用单位需要准备相应的监督检查材料，配合等级保护管理部门检查，确保等级保护对象符合安全保护相应等级的要求。

首先，作为网络运营者接受公安机关监督检查过程中，自查阶段自然也与自查和持续改进息息相关，这些工作都是相辅相成的，不可割裂的。因为，自查和持续改进目标是基于存在的风险隐患最终实现风险可控，网络安全达到预期目的。与公安机关监督检查最终要求一致，工作的目标一致，我们所从事或参与的工作都是希望通过手段的好，最终获得网络安全这个内在的好。

这个阶段的工作是由主管部门，运营、使用单位，等级保护管理部门共同完成。

以上是监督检查的概况的描述，下面就监督检查做个更细致的描述：

监督检查：备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期对《网络安全法》、网络安全等级保护制度各项要求的落实情况进行自查和监督检查。在这个过程中，公安机关已经形成了一套较完备的监督检查机制，并且已经执行多年，有关工作开展已经成为常态。

监督检查分两个大阶段，定期自查与督导检查、公安机关的监督检查。第一个阶段又可分为备案单位的定期自查、行业主管部门的督导检查；第二阶段又可分为检查的原则和方法、检查的主要内容、检查整个要求、检查工作要求、事件调查工作等。

备案单位的定期自查：这个过程要求备案单位按照《网络安全法》和网络安全等级保护制度，对网络安全工作情况、等级保护工作落实情况进行自查，掌握网络安全状况、安全管理制度及技术保护措施的落实情况等，及时发现安全隐患和存在的突出问题，有针对性地采取技术和管理措施。

注：既然是定期开展自查，所以各单位不能做甩手掌柜，将系统所有的工作和权限交给第三方公司。同时，需要责任单位必须充分理解和了解等级保护工作全生命周期要求，做好建设、运维中每一个细节性工作，不能仅以等级测评应付了事。测评是一个验证和抓手，同时自查更是验证和抓手，原则上自查出来的问题与等级测评发现的问题以及被监督检查出来的问题（未整改情况下）应该是一致的，一旦出现严重的矛盾，必有一方是存在造假嫌疑。

第三级网络要求每年进行一次自查。自查完成后，网络的安全状况未达到安全保护等级要求的，网络运营者需要进一步进行安全建设整改。

这几年，随着与各单位交流日增，同时也在协助工作中，到各个单位去摸底。有好多单位私信问我为何他们“过了等保”公安机关还要求进行整改，到这里其实已经要求整改了。也就是，“过等保”不仅仅是一次测评或备案，而是时刻落实等保政策，从技术措施、管理措施持之以恒的加强防护，这才是“过等保”！“过等保”如同“过人生”，终点就是等级保护对象废止。过没过等保，要看你阶段性实际工作有没有做好，而不是做一次测评，做完测评有没有对等级测评中发现网络安全问题和银行，及时开展整改加固。

整改不能简单的理解是公安要求的，而是应该理解成是信息系统安全现状与等级保护相关要求存在差距要求的，是系统本身存在安全风险要求的，是网络安全要求的，需要主动持续性开展，功夫在平常而非公安机关监督检查前后的临时抱佛脚。

另外，要求网络运营者积极配合公安机关的监督检查工作，如实提供有关资料及文件。当网络发生事件、案件时，备案单位还需要及时向受理备案的公安机关报告。

行业主管部门的督导检查：这个属于行业主管（监管）部门需要开展的工作，行业主管(监管)部门应组织制定本行业、本领域网络安全等级保护工作规划和标准规范，掌握网络基本情况、定级备案情况和安全保护状况；督促网络运营者开展网络定级备案、等级测评、风险评估、安全建设整改、安全自查等工作。

注：在近几年的网络安全监督检查中，各个责任单位也明显会发现，当公安机关在同级开展监督检查时，行业主管部门也会根据公安部监督检查文件精神，下发网络安全监督检查，并强调配合公安机关的监督检查。一般情况下，在这个工作落实过程中，监督检查可以说是要求做到无死角全覆盖的，所以任何单位都不应该心存侥幸，应该尽心尽责做好自身网络安全工作，做到抓铁留痕。

行业主管(监管)部门监督、检查、指导本行业、本领域网络运营者依据网络安全等级保护制度和相关标准要求，落实网络安全管理和技术保护措施，组织开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作。

下面结合《网络安全法与网络安全等级保护》简单说一下公安机关的监督检查：

检查的原则和方法：公安机关对网络运营者依照国家法律法规规定和相关标准要求，落实网络安全等级保护制度，开展网络安全防范、网络安全事件应急处置、重大活动网络安全保卫等工作，实行监督管理；对第三级以上网络运营者(含关键信息基础设施运营者)按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务，实行重点监督管理。

公安机关对同级行业主管(监管)部门依照国家法律法规规定和相关标准要求，组织督促本行业、本领域落实网络安全等级保护制度，开展网络安全防范、网络安全事件应急处置、重大活动网络安全保卫等工作情况，进行监督、检查、指导。

公安机关参照公安部网络安全保卫局下发的《公安机关网络安全执法检查工作指引》《政府信息系统及网站安全执法检查工作指引(试行)》等指引，开展网络安全执法检查工作。公安机关网会从常规性检查向深度检查、延展检查、闭环检查转变，充分运用对抗检查、技术检查等方式，对重要信息系统、重点网站及移动互联网、云计算、大数据、工业控制系统、物联网等新技术新应用的安全保护能力进行进行检查。

检查的主要内容：公安机关依法对网络安全工作情况进行监督检查，包括但不限于以下内容：

一是日常网络安全防范工作。

二是重大网络安全风险隐患整改情况。

三是重大网络安全事件应急处置和恢复工作。

四是重大活动网络安全保卫工作落实情况。

五是其他网络安全工作情况。

这里插一句，上面检查内容第一条则是日常网络安全防范工作，也就是在落实等级保护工作过程中，是功夫在平时不能仅仅为了测评而测评，那样都是“务虚”，而非“务实”，当然公安机关检查也会对“务虚”的单位进行一定的劝诫或惩处。

公安机关对第三级以上网络运营者(含关键信息基础设施运营者)的日常网络安全工作，会每年至少开展一次安全检查。检查时，可能会会同相关行业主管(监管)部门开展一起开展。当然公安机关认为有必要时，也会组织技术支持队伍开展网络安全专门技术检测。

在公安机关依法开展监督检查过程中，要求网络运营者、行业主管(监管)部门协助、配合公安机关依法实施监督检查，按照公安机关要求如实提供相关数据信息。

检查整改要求：公安机关在监督检查中发现网络安全风险隐患的，会通知网络运营者采取措施立即消除；不能及时消除的，也会责令限期整改。威胁到国家安全、公共安全和社会公共利益的，公安机关还会依法采取停止联网、停机整顿等处置措施。

检查工作要求：公安机关开展检查工作，遵循“严格依法，热情服务”的原则，遵守检查纪律，规范检查程序，主动、热情地为网络运营者提供服务和指导。

当然也要求网络安全等级保护监督管理部门及其工作人员，必须对在履行职责中知悉的国家秘密、商业秘密、重要敏感信息和个人信息严格保密，不得泄露、出售或者非法向他人提供。

事件调查工作：公安机关会根据有关规定处置网络安全事件，开展事件调查，认定事件责任，查处危害网络安全的违法犯罪活动。

公安机关在事件调查处置过程中，必要时依法会责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。

当然，作为网络运营者应当为公安机关、有关部门开展事件调查和处置提供支持和协助，为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

对网络服务机构的监督管理：公安机关对网络安全等级保护测评机构的监督管理是贯彻整个测评各个环节的，公安机关对网络安全等级保护测评机构、测评人员及其测评活动进行监督管理，发现有违反规定行为的，会责令整改；情形严重的，将其从等级保护测评机构目录中移除。

公安机关依法对等级测评机构及其人员进行监督管理，发现有违反规定行为的，会要求责令整改；情形严重的，同时也会从等级保护测评机构目录中移除。

公安机关对从事网络建设、运维、安全监测、检测认证、风险评估等网络服务机构、服务人员及其服务活动进行监督管理，发现有违反管理规定行为的，会责令其整改，并对关键岗位的服务人员进行安全背景审查。

也就是公安机关在整个等级保护工作的各个环节都进行监管，而无论是那个环节公安机关都有依法处罚的权力。所以等级保护工作是一个常态化工作，不存在一劳永逸，更不可能指望做一次测评就可以万事大吉，枕着枕头睡大觉，那是不现实的，出了安全事件或事故，无论单位还是个人都需要承担责任的。

公安机关对网络运营者进行监督检查是每年的常态化工作，是年年有，年年有共同点，也年年新的一个常态工作。只有在日常工作中，扎实开展网络安全保护工作，才能轻松应对安全主管部门的监督检查。做好工作要里子面子都有，而不是应付工作，那样临检时还是会漏洞百出，另外也违背了如实提供材料的原则，因此也是需要承担责任的。

网络安全工作的开展最终也离不开以“诚”落“实”，达到网络“真”安全！落实网络安全等级保护制度，切实采取安全防护措施，做好安全运行维护，认真开展自查，查漏补缺，如实向监管机构提供监督检查资料。这是正确履行责任以及降低安全风险，降低安全责任的最佳途径。

如果，你从《网络安全等级保护：如何各方共同参与做好定级与备案工作》一直看到这篇公众号的话，基本这才是过等保的粗略过程，而测评在整个落实等级保护过程中是不可或缺的，但是没有这个整体落实等级保护的扎实工作过程，留存闭环性资料，测评结果是不可能理想的。有句话“莫问收获，但问耕耘”虽是儒家的一个心态，但是工作生活中只要方向对了，耕耘好了理论上收获自然也不会差，但是若“莫问耕耘，但问收获”，也只能是收获稗草秕糠而已。

让我们一起为祖国的网络安全各尽一份心力！

参考文件：